/Rectangle%20239.png?width=13&height=13&name=Rectangle%20239.png){kind=small}
Le Black Friday approche à grands pas, et les détaillants en ligne du monde entier savent ce que cela signifie : d’un côté, une hausse du trafic sur les sites web, des clients, des ventes et des profits, mais de l’autre, un risque accru d’exposition à la cybercriminalité, qui pourrait entraîner des pertes financières et une atteinte à la réputation.
Les entreprises souhaitant garder une longueur d’avance sur les cyberattaquants pendant cette période devraient s’informer autant que possible : sur les menaces les plus courantes du Black Friday et les vulnérabilités exploitées, ainsi que sur les précautions à prendre pour éviter les incidents cyber. Un ingénieur en cybersécurité d’Alter Solutions nous explique tout.
Attaques DDoS : les “stars” de la cybercriminalité du Black Friday
“La menace la plus répandue lors du Black Friday est, sans aucun doute, les attaques DDoS [Déni de Service Distribué; en anglais ‘Distributed Denial of Service’)”, affirme avec assurance notre expert. Voici comment fonctionne une attaque DDoS : des hackers saturent un serveur de trafic provenant de différentes adresses IP (d’où le terme “distribué”), provoquant ainsi le crash du site web et le rendant inaccessible aux utilisateurs.
“C’est le plus gros problème pendant le Black Friday, car il y a déjà un énorme volume de trafic, ce qui permet aux acteurs malveillants de passer inaperçus et d’aggraver la situation. C’est le type d’attaque le plus facile à réaliser pour eux à cette période, en particulier envers les grands détaillants”, précise-t-il.
Les motivations derrière une attaque DDoS peuvent varier. Elle peut viser à perturber les services et causer des pertes financières pour une entreprise, ou bien être utilisée comme un écran de fumée pour dissimuler des attaques plus invasives (comme le vol de données).
En fait, ces dernières années, les attaques DDoS sont devenues plus sophistiquées et destructrices. La raison principale en est le cloud. “Aujourd’hui, avec les services cloud, il est facile d’augmenter la capacité de manière exponentielle. Les acteurs malveillants ciblent donc souvent les entreprises qui fournissent ces services : s’ils accèdent à ceux-ci, ils peuvent facilement intensifier l’attaque. Avant le cloud, ils devaient compromettre chaque appareil individuellement. Désormais, ils n’ont besoin que d’accéder au compte d’une personne disposant des identifiants pour le fournisseur de services cloud [CSP – Cloud Service Provider], comme Amazon Web Services (AWS) ou Google Cloud Platform (GCP)”, explique notre ingénieur en cybersécurité.
Quelles sont les vulnérabilités les plus exploitées ?
Principalement, la gestion des identifiants et des accès insuffisante. “En particulier, les utilisateurs ayant des privilèges élevés, comme les administrateurs, doivent bénéficier d’un niveau de sécurité plus élevé pour leurs comptes et appareils. Pourtant, on entend souvent parler de comptes piratés de ce type. Les hackers sont très doués pour identifier ces personnes et savoir comment les atteindre. Ils peuvent aller sur LinkedIn, visiter le site de l’entreprise, voire postuler pour identifier la hiérarchie. Ces attaques sont donc très sophistiquées”, avertit l’expert d’Alter Solutions.
Comment agir de manière préventive ?
Pour contrer ces vulnérabilités avant qu’elles ne soient exploitées, il existe des mesures préventives de base : renforcer les politiques de mots de passe, ainsi que l’identité et la gestion des accès (IAM – identity and access management). Deux éléments sont essentiels pour toute entreprise, peu importe sa taille : l’authentification à deux facteurs (2FA) et l’authentification multi-facteurs (MFA). Cependant, notre expert en cybersécurité avertit : “Ce n’est pas une mesure à mettre en place uniquement pour éviter le chaos du Black Friday. Elle doit être continue, tout au long de l’année”.
Pour les comptes administratifs, il est recommandé d’utiliser des tokens de sécurité physique, pour mieux protéger les actifs. “De plus, une analyse détaillée des connexions (adresse IP, localisation) facilite la détection d’anomalies si quelque chose ne va pas”, explique notre expert. Des outils comme l’UEBA (analyse des comportements et entités utilisateurs; en anglais ‘User Entity and Behaviour Analytics’) permettent d’interpréter les comportements des utilisateurs, de déclencher des alertes et de bloquer temporairement un compte si nécessaire.
Les attaques DDoS sévères qui se sont produites récemment — comme celle atténuée par Google et considérée comme la plus grande attaque DDoS à ce jour — ont également sensibilisé les entreprises et fournisseurs de cloud à la nécessité de surveiller le trafic en temps réel. “Si un service de cloud comme AWS ou GCP est utilisé pour attaquer une organisation, ils pourraient en être tenus responsables”, déclare notre ingénieur.
Ainsi, outre la montée en charge des serveurs en période de forte affluence comme le Black Friday, des services tels qu’AWS et GCP offrent des mécanismes de protection contre les attaques DDoS. “AWS et GCP sont habitués à ce type d’attaques, ils savent les détecter et les bloquer, et transmettent cette expertise à leurs clients. Les entreprises utilisant AWS ou GCP pour gérer le trafic du Black Friday bénéficient donc de leur expérience en matière de cybermenaces comme les DDoS”, suggère notre expert.
Assurer une protection complète avec un SOC Managé
Une autre manière de renforcer la cybersécurité consiste à mettre en place un Centre de Sécurité Opérationnelle (SOC) Managé, une solution de détection et réponse aux incidents qui surveille en continu les infrastructures IT, protégeant 24h/24 contre tous types de menaces et cyberattaques.
D’après l’ingénieur d’Alter Solutions, disposer d’un SOC géré est l’une des meilleures stratégies de sécurité pour éviter les cybermenaces, notamment durant le Black Friday. “Dans un SOC, on surveille toute activité suspecte comme l’exfiltration de données, etc. Cela ajoute une couche de protection pour les systèmes, comptes et réseaux. Mais évidemment, ce n’est pas un service qu’on peut juste commander ponctuellement. Cela doit être continu”.
Peut-on stopper une attaque DDoS ?
Tout dépend de la stratégie et de la tolérance au risque de l’entreprise. “Il est difficile de distinguer un utilisateur légitime d’un hôte compromis générant du trafic. Chaque entreprise doit décider si elle veut bloquer ce trafic, au risque de perdre un client, ou le laisser passer bien qu’il s’agisse peut-être d’une attaque DDoS. C’est une décision stratégique”, croit notre ingénieur.
Si le trafic passe et qu’une attaque DDoS survient, le mal est déjà fait. “On peut essayer de trouver la cause, comprendre comment cela s’est produit, et comment l’éviter à l’avenir, mais on ne peut pas l’arrêter dans l’instant. Il est donc crucial de se préparer en amont”, défend-il.
Des actions mineures peuvent toutefois atténuer l’impact d’une attaque DDoS. Par exemple, Google Cloud Platform permet de répartir les adresses IP sur différentes régions, ce qui limite le succès des cyberattaques de grande envergure.
Les conséquences d’une faible résilience cyber
Les entreprises sans stratégie de cybersécurité, surtout pendant les périodes de fort trafic comme le Black Friday, risquent de devenir victimes d’attaques DDoS et autres menaces, avec des dommages financiers et de réputation.
“Le but du Black Friday est d’augmenter les ventes et générer des revenus. Si un client n’arrive pas à acheter, il ira ailleurs, et c’est une perte directe. De plus, si une panne touche les réseaux sociaux ou les médias, cela peut nuire rapidement à la réputation de l’entreprise”, conclut notre expert en cybersécurité. Encore une fois, la prévention est la clé.
